Восстановление при компрометации безопасности
Большинство организаций при определенных обстоятельствах сталкиваются с успешной компрометацией одного или более хостов в своей сети. Первый шаг при восстановлении состоит в создании и документировании требуемых политик и процедур в ответ на успешное вторжение до осуществления самого вторжения. Ответные процедуры должны очерчивать действия, которые требуются в ответ на успешную компрометацию web-сайта, и соответствующую последовательность этих действий (последовательность может быть критически важной). Эти процедуры должны содержаться в политике безопасности организации.
Web-администраторы должны выполнить следующие шаги при определении успешной компрометации:
Системные администраторы должны рассмотреть следующие параметры при принятии решения о том, следует ли переинсталлировать ОС на скомпрометированной системе или же достаточно восстановить все из backup’а:
- Уровень доступа, который получил нарушитель (например, root, user, guest, system).
- Тип атакующего (внутренней или внешний).
- Цель компрометации (например, изуродовать web-страницу, получить незаконный доступ к репозиторию ПО, платформе для выполнения других атак).
- Метод компрометации системы.
- Действия атакующего в течение и после компрометации (например, просмотр логов, отчетов об обнаружении проникновения).
- Продолжительность компрометации.
- Распространение компрометации на сеть (например, количество скомпрометированных хостов).
- Результаты консультаций с адвокатами.
Более низкий уровень доступа, полученный нарушителем, и большие знания web-администратора о действиях нарушителя уменьшают риск, существующий при восстановлении из backup’а и выполнении patch для устранения уязвимостей. Если о действиях нарушителя известно мало, то нужно переустановить все ПО на хосте.
Заново присоединить систему к сети.Протестировать систему для гарантирования безопасности.Выполнить мониторинг системы и сети, чтобы убедиться, что атакующий снова не сможет получить доступ к системе или сети.Все документировать.
Системные администраторы должны рассмотреть следующие параметры при принятии решения о том, следует ли переинсталлировать ОС на скомпрометированной системе или же достаточно восстановить все из backup’а:
- Уровень доступа, который получил нарушитель (например, root, user, guest, system).
- Тип атакующего (внутренней или внешний).
- Цель компрометации (например, изуродовать web-страницу, получить незаконный доступ к репозиторию ПО, платформе для выполнения других атак).
- Метод компрометации системы.
- Действия атакующего в течение и после компрометации (например, просмотр логов, отчетов об обнаружении проникновения).
- Продолжительность компрометации.
- Распространение компрометации на сеть (например, количество скомпрометированных хостов).
- Результаты консультаций с адвокатами.
Более низкий уровень доступа, полученный нарушителем, и большие знания web-администратора о действиях нарушителя уменьшают риск, существующий при восстановлении из backup’а и выполнении patch для устранения уязвимостей. Если о действиях нарушителя известно мало, то нужно переустановить все ПО на хосте.
Содержание раздела